機密情報をコードに埋め込むことで生じるリスク
これはもはや.envは関係なく、もっと一般的な話であるmrsekut.icon
この2つに分けて考えてみるのもわかりやすい
その機密情報をbackendのみで使う場合
その機密情報をfrontnedでも使う場合
可能背のある問題の例
serverへの侵入
これはもっとでかいレベルの問題やなmrsekut.icon
/keroxp/CodecovのBash Uploaderが書き換えられた件
CIを実行する環境がcrackされ、.envにかかれている機密情報を外部に送信されていたらしい
Supply Chain Attackを受ける
「.envから読み込んでいる情報を全て特定のserverに送る」というような処理を書いているlibraryが含まれていたら漏洩する
マジであったらしい
@o_cee: @kentcdodds Hi Kent, it looks like this npm package is stealing env variables on install, using your cross-env package as bait:
https://pbs.twimg.com/media/DGIcUNyXsAAY1Jf.jpg
ブラウザに配信されるコードは全て丸見え
frontendに配信するコードに機密情報を含めない